Return to search

Forensiska Undersökningar av Molntjänster

Användning av molntjänster har gjort forensiska undersökningar mer komplicerade. Däremot finns det goda förutsättningar om molnleverantörerna skapar tjänster för att få ut all information. Det skulle göra det enklare och mer tillförlitligt. Informationen som ska tas ut från molntjänsterna är svår att få ut på ett korrekt sätt. Undersökningen görs inte på en skrivskyddad kopia, utan i en miljö som riskerar att förändras. Det är då möjligt att ändringar görs under tiden datan hämtas ut, vilket inte alltid syns. Det går heller inte att jämföra skillnaderna genom att ta hashsummor på filerna som görs vid forensiska undersökningar av datorer. Därför är det viktigt att dokumentera hur informationen har tagits ut, helst genom att filma datorskärmen under tiden informationen tas ut. Informationen finns sparad på flera platser då molntjänsterna Office 365 och Google Apps används, både i molnet och på den eller de datorer som har använts för att ansluta till molntjänsten. Webbläsare sparar mycket information om vad som har gjorts. Därför är det viktigt att det går att ta reda på vilka datorer som har använts för att ansluta sig till molntjänsten, vilket idag inte möjligt. Om det är möjligt att undersöka de datorer som använts kan bevis som inte finns kvar i molnet hittas. Det bästa ur forensisk synvinkel skulle vara om leverantörerna av molntjänster erbjöd en tjänst som hämtar ut all data som rör en användare, inklusive alla relevanta loggar. Då skulle det ske på ett mycket säkrare sätt, då det inte skulle gå att ändra informationen under tiden den hämtas ut. / The usage of cloud services has made forensics investigations more complicated. But there are good foundations if the cloud service providers would create services to retrieve all the information. It would make the process easier and more reliable. The most difficult part to do correctly is to download the information from the cloud services. The investigation is done in a volatile environment and not on a secured copy. It is possible that changes are made during the time the data is retrieved, which is not always visible. It is not possible to compare the differences in files with hash values, in the same way as forensic investigations of computers. That is why it is very important to document how the information is retrieved, preferably by recording the computer screen during the time the information is retrieved. The information is saved on multiple locations when the cloud services Office 365 and Google Apps are used, both in the cloud and on the computer that is being used to access the cloud. The web browser saves a lot of information of what has been done. That is why it is important to find out which computer has been used to connect to the cloud service, which is not possible today. If it would be possible to examine all the computer that have been used, evidence that is no longer in the cloud could be found, The best through a forensic angle would be if the cloud service providers offered to retrieve all data which involves a user, including all relevant logs. Then it would be possible to retrieve the data with a secure method, because it would not be possible to change the information during the retrieval.

Identiferoai:union.ndltd.org:UPSALLA1/oai:DiVA.org:du-10270
Date January 2012
CreatorsWestberg, Sofia
PublisherHögskolan Dalarna, Datateknik
Source SetsDiVA Archive at Upsalla University
LanguageSwedish
Detected LanguageEnglish
TypeStudent thesis, info:eu-repo/semantics/bachelorThesis, text
Formatapplication/pdf
Rightsinfo:eu-repo/semantics/openAccess

Page generated in 0.0023 seconds